WebService中的安全分析和控制.pdfVIP

维普资讯 2007年第 3期 福 建 电 脑 73 WebSeⅣice中的安全分析和控制 魏 丽 ．李 超 (1．合肥工业大学管理学院 安徽 合肥 230001 2．安徽建筑工业学院计算机系 安徽 合肥 230022) 【摘 要】：基于XML、SOAP、WSDL和UDDI标准的Web服务使得应用程序之间的交互变的更加容易，但与此 同时也 带来了更大的安全隐患。本文探计了Web服务 的安全性要求，并分析 了为达到这些要求所要采用的一些技术 ，最后 ，提 出了 一 个解决安全的方案。 【关键宇】：Web服务 ；Web服务安全；SOAP O．引言 (5)XML数字签名：提供对 XMU文档的完整性的证明．但 Web服务是下一代分布式计算的核心．它提出了一种新的 不提供机密性的安全要求 ，它主要是建立在 hash函数和加密算 分布式计算方式。通过一些标准的协议，这些服务能够通过互联 法 的基础之上 的 一个 XML数字签名被放在Signature~素 网被描述 ，发布 ，定位和调用 。任何应用程序都可以和其他 的应 中．该元素 同时又包含下面三个主要部分 ：Signedlnfo存放要 用进行交互 ，而不管它们的地理位置 。硬件系统，操作系统 以及 被签署部分的信息 ，SignatureValue存放数字签名后的值 ． 所使用的开发语言。为了更好的将Web服务应用到信息系统 Keylnfo存放用来验证签名的公钥。签名的步骤为：首先，计算 中，首先必须能够确信我们 的数据 (在这里主要表现为 SOAP消 DigestValue并产生Referenee元素 ．然后将DigestValue~ll 息的格式)是安全的。本文正是主要讨论 Web服务所面临的一 Reference元素添加~]Signedlnfo，再次 ，对整个Signedlnfo元 些安全问题及解决技术。 素签名生成SignatureValue元素 ，最后 ，将Signedlnfo、 1．相关安全要求及技术 SignatureValue、KeyInf0加到 ignatureq~。另外为 了避免重 1．1安全要求 复攻击 ，数字签名常跟时问戳或者 nonces等一起使用 ，将签名 不 同的应用有不同的安全需求 ．同时所有的安全都必须建 的 日期和时问都 附加在消息上。并与消息一起签名。 立在开放标准的基础之上以保证不同平台之问的互操作 。我们 (6)数字证书：提供对公钥所有者的身份的证明．包含所有 需要一个标准来将这些安全要求应用到Web服务 中 一般安全 者 的姓名、公钥、时问戳及其它一些信息。它是 由CA中心发放 需要满足这样一些要求：完整性、机密性 、身份认证 、原始性证 和签名 ，签名是为 了证明证书的有效性 。现在一般有 X．509数字 明、授权机制、审计机制、防抵赖、文章最后我们将结合一个具体 证书和Kerberos认证。PKI是建立在信任的基础之上 的．必须相 的发送请求 的SOAP消息来说明如何达到这些安全性要求 信证书发放者的权威 。 1．2安全技术分析 2．在 WS-Seeurity下构建安全体系 目前的HTIrrPS在SOAP消息的安全方面还存在一些不足：